Cuando contratas un hosting para tu web, lo normal es elegir el plan más barato que te permita tener presencia online sin gastar demasiado. Es una decisión lógica, especialmente al principio. Pero hay algo que casi ningún proveedor de hosting te explica en la página de contratación: en un hosting compartido, tu web convive con cientos o incluso miles de otras webs en el mismo servidor. Y si una de ellas tiene un problema de seguridad, tú también puedes tenerlo.
En este artículo te explico qué riesgos tiene realmente el hosting compartido, qué es el hardening de servidores y cuándo tiene sentido dar el salto a algo más seguro.
Qué es un hosting compartido y por qué es tan popular
Un hosting compartido es exactamente lo que suena: un servidor físico que comparten muchos clientes distintos. Cada uno tiene su espacio, su web y sus archivos, pero todos comparten los mismos recursos del servidor — la CPU, la memoria, el ancho de banda y, lo más importante, la misma dirección IP y el mismo entorno de sistema operativo.
Aproximadamente el 60% de los sitios web pequeños utilizan algún tipo de hosting compartido. Y tiene sentido: es barato, fácil de gestionar y el proveedor se encarga del mantenimiento técnico. Para una web corporativa sencilla o un blog que empieza, es una opción razonable.
El problema viene cuando ese negocio crece, empieza a manejar datos de clientes, o simplemente necesita que su web esté siempre disponible y segura.
El problema real del hosting compartido
Imagina un edificio de oficinas donde todas las empresas comparten no solo el edificio, sino también las cerraduras. Si alguien consigue entrar en una oficina, tiene acceso potencial a todas las demás.
Eso es, en esencia, lo que ocurre en un hosting compartido mal configurado.
Cuando la seguridad de un sitio web se ve comprometida en un servidor compartido, las otras páginas en el mismo servidor corren el mismo riesgo. Compartir un servidor incrementa la posibilidad de que se presenten infracciones de seguridad.
En la práctica esto significa que si la web de otro cliente del mismo servidor tiene una vulnerabilidad — un plugin de WordPress desactualizado, una contraseña débil, un formulario mal protegido — un atacante puede aprovecharla para acceder también a tu web, aunque tú hayas hecho todo correctamente.
Además hay otros riesgos que no se mencionan tanto:
Reputación de IP compartida. Si otro cliente del servidor envía spam o tiene malware, la dirección IP del servidor puede acabar en listas negras. Eso afecta directamente a la entregabilidad de tus correos y puede perjudicar tu posicionamiento en Google.
Rendimiento impredecible. Si otro sitio del servidor tiene un pico de tráfico o un proceso que consume muchos recursos, tu web se ralentiza aunque tú no hayas hecho nada.
Opciones de configuración limitadas. En un hosting compartido no puedes configurar el servidor a tu medida. Las cabeceras de seguridad, las políticas de acceso, los módulos activos — todo lo decide el proveedor. Tú no tienes control.
Qué es el hardening de servidores
El hardening — o bastionado en español — es el proceso de configurar un servidor eliminando todo lo que no es necesario y reforzando lo que sí lo es. El objetivo es reducir la superficie de ataque: cuantas menos puertas abiertas haya, menos posibilidades tiene un atacante de encontrar una por la que entrar.
En la práctica, un proceso de hardening incluye cosas como:
Cerrar puertos innecesarios. Un servidor solo debería tener abiertos los puertos que realmente necesita. Si tu web solo sirve páginas web, no tiene sentido tener abierto el puerto de base de datos hacia el exterior.
Endurecer el acceso SSH. Cambiar el puerto por defecto, deshabilitar el acceso como root, usar autenticación por clave en vez de contraseña, y limitar qué IPs pueden conectarse.
Configurar el firewall correctamente. No solo activarlo — configurarlo con reglas específicas que permitan solo el tráfico necesario y bloqueen el resto.
Actualizar y parchear. El sistema operativo, los servicios activos y todas las aplicaciones tienen que estar siempre en la última versión. Si no se aplican las actualizaciones de seguridad, el sitio web puede ser vulnerable a ataques conocidos.
Aplicar el principio de mínimo privilegio. Cada usuario y cada proceso solo tiene acceso a lo que necesita para funcionar. Nada más.
Activar logs de auditoría. Saber qué ocurre en el servidor en todo momento. Si algo va mal, los logs son lo que permite entender qué pasó y cuándo.
Todo esto no es posible en un hosting compartido porque no tienes acceso al servidor. Solo es viable en un VPS o en un servidor dedicado donde tú — o alguien que trabaja para ti — controla la configuración.
¿Cuándo necesitas dar el salto a un VPS?
No todo el mundo necesita un VPS. Pero hay señales claras de que el hosting compartido se te ha quedado pequeño:
- Tu web maneja datos de clientes — formularios, reservas, pagos, datos personales. Si guardas datos de personas, tienes responsabilidad legal sobre ellos y necesitas un entorno que puedas controlar y auditar.
- Tu negocio depende de que la web esté siempre disponible — si tu web cae y pierdes ventas o clientes, el coste de un VPS es insignificante comparado con el coste de una caída.
- Tienes una tienda online — el comercio electrónico en España facturó 95.200 millones de euros en 2024. Si vendes online, la seguridad de tu infraestructura no es opcional.
- Necesitas configuraciones específicas de seguridad — cabeceras HTTP, certificados avanzados, reglas de firewall personalizadas. En hosting compartido no puedes tocar nada de esto.
- Tu hosting te ha avisado de actividad sospechosa — si ya has tenido un incidente, es el momento de cambiar de entorno antes de que vuelva a ocurrir.
Un VPS básico en España cuesta entre 5€ y 20€ al mes dependiendo del proveedor y las especificaciones. La diferencia con el hosting compartido en términos de control y seguridad es enorme.
Qué pasa si haces el hardening mal — o no lo haces
Un servidor mal configurado es peor que un hosting compartido bien gestionado. Tener un VPS no te da seguridad automáticamente — te da la posibilidad de conseguirla si lo configuras correctamente.
Los errores más comunes al gestionar un VPS sin experiencia son dejar el puerto SSH en el 22 con acceso root habilitado, no actualizar el sistema operativo, instalar software innecesario que amplía la superficie de ataque, y no configurar ningún sistema de monitorización que avise si algo va mal.
Si tienes un VPS y no estás seguro de cómo está configurado, probablemente esté menos seguro de lo que crees.
El resumen práctico
Si tu web es una tarjeta de presentación sencilla sin datos de clientes, el hosting compartido es suficiente siempre que tengas todo actualizado y backups automáticos.
Si tu web maneja datos de clientes, procesa pagos, o tu negocio depende de su disponibilidad — necesitas un entorno más controlado y un servidor correctamente bastionado.
La buena noticia es que migrar a un VPS y configurarlo bien no es un proceso que lleve semanas ni cueste una fortuna. Lo que sí requiere es hacerlo con criterio y no dejarlo a medias.
Si quieres que revise la situación de tu web o tu servidor y te diga exactamente qué riesgos tienes y cómo solucionarlos, escríbeme desde el formulario de contacto. Te respondo en menos de 24 horas.
¿Ya tienes un VPS pero no sabes si está bien configurado? Pregúntame por el servicio de hardening — es exactamente para esto.